¿En qué casos puede la empresa acceder al ordenador del empleado que teletrabaja?

197

¿Puede un administrador de sistemas informáticos acceder a información guardada por el trabajador en su ordenador sin pedir su consentimiento expreso? ¿Está protegida la información que el usuario tiene en sus carpetas privadas? ¿Tienen los trabajadores o usuarios asegurada la privacidad de lo que guardan en sus ordenadores?

Estas cuestiones surgen en el marco de un enorme proceso de transformación digital, donde el teletrabajo ya es parte de nuestra vida. Debido a la pandemia del Covid-19, nos hemos visto obligados a trasladar nuestro puesto de trabajo al hogar, con los riesgos que esto conlleva. Hoy, más que nunca, una fuga de información es aún más factible que hace unos meses, además de los peligros de ataques cibernéticos y brechas de seguridad en la información personal. Estas serían las respuestas a dichas preguntas:

¿Puede un administrador de sistemas informáticos, por ejercer dicho cargo, acceder a información guardada por el trabajador en su ordenador sin pedir consentimiento expreso?

Como ha establecido la regulación laboral y de protección de datos en vigor, la empresa no puede acceder a la información analógica ni digital del empleado sin su consentimiento. No obstante, la regulación actual prevé también que la empresa, y sus responsables, podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos.

En aquellas empresas que cuenten con un delegado de protección de datos, como reconoce el artículo 36 de la de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), se garantizará la independencia del delegado de protección de datos dentro de la organización y evitar cualquier conflicto de intereses.

En este sentido y por disposición legal, el delegado de protección de datos en el ejercicio de sus funciones tendrá acceso a los datos personales y procesos de tratamiento. Específicamente, la empresa, ya actúe como responsable o encargado del tratamiento, no podrá oponer a este acceso la existencia de cualquier deber de confidencialidad o secreto, incluido el previsto en el artículo 5 de esa ley orgánica.

En la actualidad y dada la situación pandémica que mueve al teletrabajo, esta coyuntura se ha podido aprovechar por los administradores de sistemas para tener acceso directo a gran cantidad de información corporativa, incluyendo todos los documentos generados por los usuarios. Si bien la responsabilidad de las tareas que realizan está legitimada, es preciso diferenciar la información corporativa de otros datos y documentos de carácter personal, más ahora si el ordenador utilizado para el trabajo es nuestro ordenador personal.

La utilización fraudulenta u obtención de estos datos personales podrá conllevar algunas de las sanciones establecidas en el Reglamento General de Protección de Datos y en la LOPD. El hecho de ser el administrador de los sistemas informáticos dentro de una empresa conllevará una responsabilidad más elevada que la de cualquier otro trabajador.

Este ejemplo es igualmente aplicable a las responsabilidades de los empresarios en su labor de vigilancia y control del trabajo efectivo de sus trabajadores. De este modo, un aprovechamiento fraudulento de su posición laboral conllevará las mismas o más agravadas responsabilidades, con la correspondiente sanción administrativa.

Como hemos adelantado, la norma que afecta a las cuestiones planteadas se resuelve en gran medida en virtud del deber de confidencialidad reconocido en el artículo 5 de la citada Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales. En este precepto se prioriza la defensa de los datos del trabajador frente a la posible injerencia de los intereses empresariales, donde no todo vale.

El equilibrio entre el ámbito de intimidad del trabajador y la potestad de dirección y control empresarial se establece mediante el deber básico de confidencialidad y de secreto profesional para el tratamiento de datos personales, así como la responsabilidad de los responsables y encargados de tratamientos respecto al cumplimiento de dichos principios.

En este sentido, es importante tener en cuenta que cualquiera de las medidas que se adopten dentro del ámbito empresarial deberán ser puestas en conocimiento del trabajador. Por tanto, una intromisión sin consentimiento en la información generada por un trabajador constituye un tratamiento ilícito de los datos, también de los personales, con la consiguiente responsabilidad y las previsibles sanciones administrativas. Todo ello sin olvidar la posible responsabilidad penal que lleve aparejada dicha acción en el ámbito del delito de revelación de secretos.

¿Está protegida la información que el usuario tiene en sus carpetas privadas? ¿Tienen los trabajadores o usuarios asegurada la privacidad de lo que guardan en sus ordenadores?

Desde la perspectiva de los trabajadores y usuarios, sí existe el derecho a la intimidad en el entorno laboral, donde nuevamente es clara la regulación vigente contenida en la citada LOPDGDD y en el Estatuto de los trabajadores.

En efecto, según establece el artículo 87 de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, el empleado tiene derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral. De este modo, los trabajadores y los empleados públicos tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador.

De igual modo, el Estatuto de los trabajadores, en el art. 20, dispone que el empresario podrá adoptar las medidas más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, pero la consideración debida a su dignidad se ha de aplicar en la adopción y aplicación de tales medidas.

Ambos preceptos son directamente aplicables a los administradores de sistemas informáticos, pues el contenido jurídico de ambos preceptos determina que el administrador de sistemas y el empleador podrán acceder a aquella información que por razones de su desempeño profesional estén facultados. A la hora de recopilar o acceder a datos de los dispositivos de los trabajadores, al menos se deberán tener en cuenta estos tres requisitos:

  1. Necesidad o licitud (art.5.1.a RGPD): Los datos han de ser tratados siempre que sean imprescindibles para el desempeño de las funciones laborales o de supervisión y vigilancia, para el caso de los empleadores.
  • Minimización de Datos (art. 5.1.c RGPD): La recopilación de datos ha de ser realizada de forma proporcionada y siempre en concordancia con la actividad laboral que se realice.
  • Claridad y transparencia (Art.5.1.b): Los datos deberán ser tratados con fines determinados, explícitos y legítimos, no siendo tratados ulteriormente de manera incompatible con dichos fines.

En conclusión, la empresa debe guardar un equilibrio proporcionado entre los derechos de intimidad y privacidad de sus empleados en el ámbito del trabajo, aunque ahora se desempeñe fuera de las instalaciones físicas, pero dentro de los entornos digitales empresariales, así como entre las potestades directivas y de control en el acceso y uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de sus obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos.

  • Carlos Albareda Úbeda, colaborador de las Áreas de Tecnología y Derecho Espacial en Bufete Mas y Calvet.